TR/Shutdowner.fft PC fährt immer rauf und runter

radrainer · 28.12.2010, 14:04

Ich hatte bevor ich Combofix laufen lassen hatte folgede FM von Avira Antivr:
C.,\System Volume Information\...\A0001108.dll
TR\Shutdowner.ftt gefunden

cosinus · 28.12.2010, 19:15

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Folder::
c:\programme\win
c:\programme\qERdvErV©PœËrwdgnsdq.exe

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

radrainer · 28.12.2010, 19:57

Hallo!
Ich bekomme den avguard.exe nicht abgschossen im Taskmanager.
Soll ich Avira deinstallieren oder gibt es noch eine andere möglichkeit?

cosinus · 28.12.2010, 20:16

Ja notfalls deinstallieren

radrainer · 28.12.2010, 22:49

Hallo Arne!
Ich habe Avira deinstalliert. Die Avguard.exe ist nicht mehr im Taskmanager zu sehen. Trotzdem bringt Combofix folgende Meldung:
Combofix hat festgestellt das folgende Real-Time-Scanner aktiv sind:
antivirus: Avira Anti Personal Edition Classic
antivirus: Avira Anti Personal Edition Classic
antivirus: Avira Anti Personal Edition Classic
antivirus: Avira Anti Personal Edition Classic

Ich lasse jetzt trotzdem Combofix laufen und poste Combofix.txt.
Hinweis:
Vor dem scan von Combofix habe ich den Rechner vom Netz genommen, weil er sonst ja ungeschütz wäre.

cosinus · 28.12.2010, 22:58

Ja, das ist ein Bug. Einfach CF laufen lassen, Avira ist ja weg.

radrainer · 28.12.2010, 22:58

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-12-26.01 - rainer 28.12.2010  22:43:23.3.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.616 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\rainer\Desktop\Cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\rainer\Desktop\CFScript.txt
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {806ED0B3-FFA4-00FC-0D24-347CA8A3377C}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-28 bis 2010-12-28  ))))))))))))))))))))))))))))))
.

2010-12-28 11:37 . 2010-12-28 11:37	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\SearchElf_1.2
2010-12-27 21:36 . 2010-12-27 21:36	--------	d-----w-	c:\dokumente und einstellungen\rainer\Anwendungsdaten\Malwarebytes
2010-12-27 21:36 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-27 21:36 . 2010-12-27 21:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-27 21:36 . 2010-12-27 21:36	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-12-27 21:36 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-27 16:48 . 2010-12-27 15:39	1036800	----a-w-	c:\windows\explorer.exe
2010-12-27 12:38 . 2010-12-27 11:31	513024	----a-w-	c:\windows\system32\winlogon.exe
2010-12-24 14:05 . 2010-12-24 14:05	--------	d-----w-	C:\~ErdUserProfile.$$$
2010-12-20 17:01 . 2010-12-20 17:01	98392	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2010-12-20 16:57 . 2010-12-20 16:57	--------	d-----w-	c:\dokumente und einstellungen\rainer\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-12-20 16:56 . 2010-12-28 11:56	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-12-20 15:58 . 2010-12-28 18:42	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-12-20 15:58 . 2010-12-28 18:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-12-20 12:36 . 2010-12-20 12:36	--------	d-----w-	c:\dokumente und einstellungen\rainer\Lokale Einstellungen\Anwendungsdaten\SearchElf_1.2
2010-12-20 12:36 . 2010-12-20 12:36	--------	d-----w-	c:\programme\Conduit
2010-12-20 12:36 . 2010-12-20 12:36	--------	d-----w-	c:\dokumente und einstellungen\rainer\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-12-20 12:35 . 2010-12-20 12:39	--------	d-----w-	c:\programme\SearchElf_1.2
2010-12-20 11:30 . 2010-12-20 11:30	--------	d-----w-	c:\programme\temp
2010-12-19 14:48 . 2010-12-19 14:48	--------	d-----w-	c:\dokumente und einstellungen\Georg\win
2010-12-15 18:16 . 2010-12-15 18:16	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-19 09:16 . 2008-06-19 09:16	118784	----a-w-	c:\programme\mozilla firefox\plugins\MyCamera.dll
.

------- Sigcheck -------

[-] 2010-12-27 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\winlogon.exe

[-] 2010-12-27 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\explorer.exe
[-] 2007-06-13 . DABF74D75F2D78CEB91693693FBEA84C . 1036288 . . [6.00.2900.3156] . . c:\windows\system32\dllcache\explorer.exe
[7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-03 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
.
(((((((((((((((((((((((((((((   SnapShot@2010-12-28_12.20.23   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-28 21:32 . 2010-12-28 21:32	16384              c:\windows\Temp\Perflib_Perfdata_5dc.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{f4e6547e-325b-403c-a3bb-ad29ed37a92f}"= "c:\programme\SearchElf_1.2\tbSea0.dll" [2010-12-09 3911776]

[HKEY_CLASSES_ROOT\clsid\{f4e6547e-325b-403c-a3bb-ad29ed37a92f}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-12-09 11:51	3911776	----a-w-	c:\programme\ConduitEngine\ConduitEngin0.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f4e6547e-325b-403c-a3bb-ad29ed37a92f}]
2010-12-09 11:51	3911776	----a-w-	c:\programme\SearchElf_1.2\tbSea0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{f4e6547e-325b-403c-a3bb-ad29ed37a92f}"= "c:\programme\SearchElf_1.2\tbSea0.dll" [2010-12-09 3911776]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\programme\ConduitEngine\ConduitEngin0.dll" [2010-12-09 3911776]

[HKEY_CLASSES_ROOT\clsid\{f4e6547e-325b-403c-a3bb-ad29ed37a92f}]

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{F4E6547E-325B-403C-A3BB-AD29ED37A92F}"= "c:\programme\SearchElf_1.2\tbSea0.dll" [2010-12-09 3911776]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\programme\ConduitEngine\ConduitEngin0.dll" [2010-12-09 3911776]

[HKEY_CLASSES_ROOT\clsid\{f4e6547e-325b-403c-a3bb-ad29ed37a92f}]

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-13 68856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 143360]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2009-09-24 434176]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-10-09 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-10-08 57344]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 344064]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"CamserviceDeluxe2"="c:\programme\Hercules\Deluxe Optical Glass\Camservice.exe" [2007-08-10 81920]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-04-03 202256]
"WEB.DE Update"="c:\programme\WEB.DE\LiveUpdate\m2LUTray.exe" [2009-10-16 2226056]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\rainer\Startmen\Programme\Autostart\
Verknpfung mit Microsoft Outlook.lnk -  [N/A]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
NkvMon.exe.lnk - c:\programme\Nikon\NkView6\NkvMon.exe [2005-7-24 241664]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Hercules\\Deluxe Optical Glass\\Station2.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [24.11.2009 19:34 27632]
S2 gupdate1c9b62da42dde10;Google Update Service (gupdate1c9b62da42dde10);c:\programme\Google\Update\GoogleUpdate.exe [05.04.2009 21:32 133104]
S2 OMSI download service;Sony Ericsson OMSI download service;c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [24.11.2009 19:34 90112]
S3 camfilt2;camfilt2;c:\windows\system32\drivers\camfilt2.sys [12.11.2009 18:32 94720]
.
Inhalt des "geplante Tasks" Ordners

2010-12-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-12-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-05 20:32]

2010-12-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-05 20:32]

2010-12-28 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-299502267-152049171-1060284298-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

2010-12-28 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-299502267-152049171-1060284298-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

2010-12-28 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-299502267-152049171-1060284298-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

2010-12-19 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-299502267-152049171-1060284298-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

2010-12-27 c:\windows\Tasks\User_Feed_Synchronization-{53488C05-D059-4032-8EB4-82B6ED5F89E2}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://go.web.de/suchbox/webdesuche?su=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
FF - ProfilePath - c:\dokumente und einstellungen\rainer\Anwendungsdaten\Mozilla\Firefox\Profiles\1764jyn4.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-28 22:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3476)
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchBar.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\MFC71U.DLL
c:\programme\Gemeinsame Dateien\Ahead\Lib\BCGCBPRO800u.dll
c:\windows\system32\msls31.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-12-28  22:49:22
ComboFix-quarantined-files.txt  2010-12-28 21:49
ComboFix2.txt  2010-12-28 19:01
ComboFix3.txt  2010-12-28 12:22

Vor Suchlauf: 3.104.944.128 Bytes frei
Nach Suchlauf: 3.084.455.936 Bytes frei

- - End Of File - - 7BE9A8D45613250C69372B69DE772FB1

--- --- ---

cosinus · 28.12.2010, 23:20

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

radrainer · 29.12.2010, 12:53

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-12-29 11:56:50
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_SP2014N rev.VC100-33
Running: 8m3veihn.exe; Driver: C:\DOKUME~1\rainer\LOKALE~1\Temp\ufloapod.sys


---- User code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\WgaTray.exe[544] WININET.dll!InternetErrorDlg                                        4094A70B 5 Bytes  JMP 0101211B C:\WINDOWS\system32\WgaTray.exe (Windows Genuine Advantage Notification/Microsoft Corporation)
.text  C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2088] USER32.dll!DefWindowProcA + 11A    7E36D608 7 Bytes  JMP 10031D10 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text  C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2088] USER32.dll!SetWindowRgn + 2BB      7E37026D 7 Bytes  JMP 10031C80 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text  C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2088] USER32.dll!SetClipboardData + 19D  7E3810FB 7 Bytes  JMP 10031CF0 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)

---- EOF - GMER 1.0.15 ----

--- --- ---

radrainer · 29.12.2010, 12:55

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 12:32:37 on 29.12.2010

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"RealUpgradeLogonTaskS-1-5-21-299502267-152049171-1060284298-1003.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"RealUpgradeLogonTaskS-1-5-21-299502267-152049171-1060284298-1005.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"RealUpgradeScheduledTaskS-1-5-21-299502267-152049171-1060284298-1003.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"RealUpgradeScheduledTaskS-1-5-21-299502267-152049171-1060284298-1005.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ALSNDMGR.CPL" - "Realtek Semiconductor Corp." - C:\WINDOWS\system32\ALSNDMGR.CPL
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - ? - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl  (File not found)
"Avira AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"Cmcpls" - "C-Media Corporation" - C:\WINDOWS\System\cmicnfg.cpl
"ContentDirectory" - "Microsoft Corporation" - c:\programme\windows media connect\mswmccpl.dll
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"C-Media WDM Audio Interface" (cmuda) - "C-Media Inc" - C:\WINDOWS\System32\drivers\cmuda.sys
"camfilt2" (camfilt2) - "Guillemot Corporation" - C:\WINDOWS\System32\DRIVERS\camfilt2.sys
"catchme" (catchme) - ? - C:\DOKUME~1\rainer\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Hercules Deluxe Optical Glass" (SNPSTD3) - "Sonix Co. Ltd." - C:\WINDOWS\System32\DRIVERS\snpstd3.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PQNTDrv" (PQNTDrv) - "PowerQuest Corporation" - C:\WINDOWS\system32\drivers\PQNTDrv.sys
"Service for Realtek AC97 Audio (WDM)" (ALCXWDM) - "Realtek Semiconductor Corp." - C:\WINDOWS\System32\drivers\ALCXWDM.SYS
"Service for WDM 3D Audio Driver" (ALCXSENS) - "Sensaura Ltd" - C:\WINDOWS\System32\drivers\ALCXSENS.SYS
"ufloapod" (ufloapod) - ? - C:\DOKUME~1\rainer\LOKALE~1\Temp\ufloapod.sys  (Hidden registry entry, rootkit activity | File not found)
"USB Serial Converter Driver" (FTDIBUS) - "FTDI Ltd." - C:\WINDOWS\System32\drivers\ftdibus.sys
"USB Serial Port Driver" (FTSER2K) - "FTDI Ltd." - C:\WINDOWS\System32\drivers\ftser2k.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Desktop\Components )-----
"(0) Source" - ? - /C:/DOKUME~1/rainer/LOKALE~1/Temp/msoclip1/01/clip_image002.gif  (File not found)
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{59850401-6664-101B-B21C-00AA004BA90B} "Microsoft Office Binder Unbind" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\1031\UNBIND.DLL
{49BF5420-FA7F-11cf-8011-00A0C90A8F78} "Mobiles Gerät" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~4\Wcesview.dll
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{32A9D769-5B55-4a25-9A62-86B5683FE50A} "NikonView Drop Extension" - "Nikon Corporation" - C:\Programme\Nikon\NkView6\NkvDropExt.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - c:\program files\real\realplayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Conduit Engine" - "Conduit Ltd." - C:\Programme\ConduitEngine\ConduitEngin0.dll
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
<binary data> "SearchElf 1.2 Toolbar" - "Conduit Ltd." - C:\Programme\SearchElf_1.2\tbSea0.dll
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{f4e6547e-325b-403c-a3bb-ad29ed37a92f} "SearchElf 1.2 Toolbar" - "Conduit Ltd." - C:\Programme\SearchElf_1.2\tbSea0.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10i.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
{200B3EE9-7242-4EFD-B1E4-D97EE825BA53} "VerifyGMN Class" - "Hewlett-Packard" - C:\WINDOWS\Downloaded Program Files\hpobjinstaller_gmn.dll / hxxp://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~4\INetRepl.dll
{77BF5300-1474-4EC7-9980-D32B190E9B07} "ClsidExtension" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "Create Mobile Favorite" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~4\INetRepl.dll
{77BF5300-1474-4EC7-9980-D32B190E9B07} "Skype" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins\Extension )-----
"Location" - "InterTrust Technologies Corporation, Inc." - C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{30F9B915-B755-4826-820B-08FBA6BD249D} "Conduit Engine" - "Conduit Ltd." - C:\Programme\ConduitEngine\ConduitEngin0.dll
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{f4e6547e-325b-403c-a3bb-ad29ed37a92f} "SearchElf 1.2 Toolbar" - "Conduit Ltd." - C:\Programme\SearchElf_1.2\tbSea0.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{30F9B915-B755-4826-820B-08FBA6BD249D} "Conduit Engine" - "Conduit Ltd." - C:\Programme\ConduitEngine\ConduitEngin0.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{3049C3E9-B461-4BC5-8870-4C09146192CA} "RealPlayer Download and Record Plugin for Internet Explorer" - "RealPlayer" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
{f4e6547e-325b-403c-a3bb-ad29ed37a92f} "SearchElf 1.2 Toolbar" - "Conduit Ltd." - C:\Programme\SearchElf_1.2\tbSea0.dll
{22BF413B-C6D2-4d91-82A9-A0F997BA588C} "Skype add-on (mastermind)" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\OSA9.EXE  (Shortcut exists | File exists)
"NkvMon.exe.lnk" - "Nikon Corporation" - C:\Programme\Nikon\NkView6\NkvMon.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\rainer\Startmenü\Programme\Autostart\desktop.ini
"Verknüpfung mit Microsoft Outlook.lnk" - ? - C:\Dokumente und Einstellungen\rainer\Startmenü\Programme\Autostart\Verknüpfung mit Microsoft Outlook.lnk  (Shortcut exists | File not found)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"H/PC Connection Agent" - "Microsoft Corporation" - "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
"Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"Sony Ericsson PC Suite" - "Sony Ericsson Mobile Communications AB" - "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
"swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon )-----
"Shell" - "Microsoft Corporation" - C:\WINDOWS\Explorer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"ATIPTA" - "ATI Technologies, Inc." - C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
"CamserviceDeluxe2" - "Guillemot Corporation S.A." - C:\Programme\Hercules\Deluxe Optical Glass\Camservice.exe /startup
"NeroFilterCheck" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"SoundMan" - "Realtek Semiconductor Corp." - SOUNDMAN.EXE
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
"WEB.DE Update" - ? - C:\Programme\WEB.DE\LiveUpdate\m2LUTray.exe  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe
"Canon Camera Access Library 8" (CCALib8) - "Canon Inc." - C:\Programme\Canon\CAL\CALMAIN.exe
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate1c9b62da42dde10)" (gupdate1c9b62da42dde10) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"NBService" (NBService) - "Nero AG" - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
"Sony Ericsson OMSI download service" (OMSI download service) - ? - C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe  (File found, but it contains no detailed information)
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Media Connect (WMC)" (WmcCds) - "Microsoft Corporation" - c:\programme\windows media connect\mswmccds.exe
"Windows Media Connect-Hilfsprogramm" (WmcCdsLs) - "Microsoft Corporation" - C:\Programme\Windows Media Connect\mswmcls.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

radrainer · 29.12.2010, 12:55

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x000000fd

Kernel Drivers (total 117):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806ED000 \WINDOWS\system32\hal.dll
0xF7D2F000 \WINDOWS\system32\KDCOM.DLL
0xF7C3F000 \WINDOWS\system32\BOOTVID.dll
0xF77DF000 ACPI.sys
0xF7D31000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF77CE000 pci.sys
0xF782F000 isapnp.sys
0xF7D33000 viaide.sys
0xF7AAF000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF783F000 MountMgr.sys
0xF77AF000 ftdisk.sys
0xF7D35000 dmload.sys
0xF7789000 dmio.sys
0xF7AB7000 PartMgr.sys
0xF784F000 VolSnap.sys
0xF7771000 atapi.sys
0xF785F000 disk.sys
0xF786F000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7751000 fltMgr.sys
0xF773F000 sr.sys
0xF7728000 KSecDD.sys
0xF7715000 WudfPf.sys
0xF7688000 Ntfs.sys
0xF765B000 NDIS.sys
0xF787F000 viaagp.sys
0xF7ABF000 viaagp1.sys
0xF7640000 Mup.sys
0xF6CE3000 \SystemRoot\system32\DRIVERS\amdk7.sys
0xF6BD2000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF6BBE000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7B6F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6B9B000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7B77000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF6CB3000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF78AF000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF78BF000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6B78000 \SystemRoot\system32\DRIVERS\ks.sys
0xF6B65000 \SystemRoot\system32\drivers\viaudio.sys
0xF6B41000 \SystemRoot\system32\drivers\portcls.sys
0xF78CF000 \SystemRoot\system32\drivers\drmk.sys
0xF78DF000 \SystemRoot\system32\DRIVERS\fetnd5b.sys
0xF7B7F000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF6B30000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7D0B000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF6B1C000 \SystemRoot\system32\DRIVERS\parport.sys
0xF78EF000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7B87000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7E4B000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF78FF000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7D0F000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6B05000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF790F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF791F000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7B8F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6AF4000 \SystemRoot\system32\DRIVERS\psched.sys
0xF792F000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7B97000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7B9F000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6AC3000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF793F000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7BA7000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7BAF000 \SystemRoot\system32\DRIVERS\seehcri.sys
0xF7D55000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6A8F000 \SystemRoot\system32\DRIVERS\update.sys
0xF7D2B000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF794F000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF798F000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7D5F000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7BBF000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF7D61000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7E7F000 \SystemRoot\System32\Drivers\Null.SYS
0xF7D63000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7BCF000 \SystemRoot\System32\drivers\vga.sys
0xF7D65000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7D67000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7BD7000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7BDF000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7CC7000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xBAFA5000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xBAF4D000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xBAF25000 \SystemRoot\system32\DRIVERS\netbt.sys
0xBAF03000 \SystemRoot\System32\drivers\afd.sys
0xF79AF000 \SystemRoot\system32\DRIVERS\netbios.sys
0xBAED8000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF7E8A000 \SystemRoot\System32\Drivers\PQNTDrv.SYS
0xBAE69000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF79BF000 \SystemRoot\System32\Drivers\Fips.SYS
0xBAE48000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF79CF000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF7BEF000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xF7CF3000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF79EF000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF7BF7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF7CF7000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF79FF000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xBAE08000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D6B000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6A77000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7BFF000 \SystemRoot\System32\watchdog.sys
0xBF9C4000 \SystemRoot\System32\drivers\dxg.sys
0xF7F28000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF9D6000 \SystemRoot\System32\ati2dvag.dll
0xBFA10000 \SystemRoot\System32\ati2cqag.dll
0xBFA4D000 \SystemRoot\System32\ati3duag.dll
0xBFC80000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB8CD0000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB8A6C000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7DC1000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB8925000 \SystemRoot\system32\DRIVERS\srv.sys
0xB8550000 \SystemRoot\system32\drivers\wdmaud.sys
0xB8755000 \SystemRoot\system32\drivers\sysaudio.sys
0xB8502000 \SystemRoot\system32\drivers\kmixer.sys
0xB7DD9000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 47):
0 System Idle Process
4 System
536 C:\WINDOWS\system32\smss.exe
600 csrss.exe
632 C:\WINDOWS\system32\winlogon.exe
676 C:\WINDOWS\system32\services.exe
688 C:\WINDOWS\system32\lsass.exe
836 C:\WINDOWS\system32\ati2evxx.exe
848 C:\WINDOWS\system32\svchost.exe
936 svchost.exe
976 C:\WINDOWS\system32\svchost.exe
1012 C:\WINDOWS\system32\svchost.exe
1152 svchost.exe
1212 svchost.exe
1324 C:\WINDOWS\system32\spoolsv.exe
1400 svchost.exe
1444 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
1508 C:\Programme\Java\jre6\bin\jqs.exe
1560 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
1676 C:\WINDOWS\system32\svchost.exe
1832 C:\WINDOWS\system32\wuauclt.exe
1916 C:\Programme\Canon\CAL\CALMAIN.exe
148 alg.exe
520 C:\WINDOWS\system32\ati2evxx.exe
272 C:\WINDOWS\system32\WgaTray.exe
604 C:\WINDOWS\explorer.exe
1084 C:\Programme\Google\Update\GoogleUpdate.exe
1264 wmiprvse.exe
1576 C:\WINDOWS\SOUNDMAN.EXE
1352 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
1692 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
1972 C:\Programme\Hercules\Deluxe Optical Glass\CamService.exe
2056 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
2096 C:\Programme\WEB.DE\LiveUpdate\m2LUTray.exe
2108 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2128 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
2164 C:\Programme\Microsoft ActiveSync\wcescomm.exe
2260 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
2272 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
2284 C:\Programme\Skype\Phone\Skype.exe
2312 C:\Programme\Microsoft ActiveSync\rapimgr.exe
2324 C:\WINDOWS\system32\ctfmon.exe
2376 C:\Programme\Nikon\NkView6\NkvMon.exe
2388 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
2516 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
2944 C:\Programme\Skype\Plugin Manager\skypePM.exe
3132 C:\Dokumente und Einstellungen\rainer\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000004`6528ec00 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x0000000e`a609c000 (NTFS)
\\.\G: --> \\.\PhysicalDrive0 at offset 0x00000018`e6ea9400 (NTFS)
\\.\H: --> \\.\PhysicalDrive0 at offset 0x00000023`27cb6800 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGSP2014N, Rev: VC100-33

Size Device Name MBR Status
--------------------------------------------
186 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

cosinus · 29.12.2010, 14:07

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

radrainer · 29.12.2010, 15:33

Datenbank Version: 5415

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

29.12.2010 15:19:18
mbam-log-2010-12-29 (15-19-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 204089
Laufzeit: 30 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

radrainer · 29.12.2010, 18:14

Ich habe die ANTISYWARE.exe laufen lassen.
Erhat noch eine Menge gefunden.
Ich finde das Log aber leider nicht??

cosinus · 29.12.2010, 19:59

Bitte lies die Anleitung richtig!!!

28.12.2010, 20:16	#19
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Shutdowner.fft PC fährt immer rauf und runter Ja notfalls deinstallieren __________________ Logfiles bitte immer in CODE-Tags posten

28.12.2010, 22:58	#21
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Shutdowner.fft PC fährt immer rauf und runter Ja, das ist ein Bug. Einfach CF laufen lassen, Avira ist ja weg. __________________ --> TR/Shutdowner.fft PC fährt immer rauf und runter

29.12.2010, 14:07	#27
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Shutdowner.fft PC fährt immer rauf und runter Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

29.12.2010, 19:59	#30
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Shutdowner.fft PC fährt immer rauf und runter Bitte lies die Anleitung richtig!!! __________________ Logfiles bitte immer in CODE-Tags posten

TR/Shutdowner.fft PC fährt immer rauf und runter

Plagegeister aller Art und deren Bekämpfung: TR/Shutdowner.fft PC fährt immer rauf und runter